kolejne pytanko o xss

jest strona która umozliwia przeprowadzenie standardowego ataku xss
czyli dołaczenie do zmiennei np czegoś takiego <script>alert(doxcument.cookie)</script>
i wtedy ujawnia się identyfikator sesji
no i spoko
ale kiedy na tei samei stronie do zmiennej dołącze coś takiego <iframe src=http://strona.pl/xss.php a w pliku xss.php jest taka zawartosć <script>alert(doxcument.cookie)</script>


wtedy w okienko javascriptu jest puste dlaczego efekty są różne